miércoles, 31 de diciembre de 2008

Asegurar una red wifi basada en WEP.

Antes de todo decir que si vuestro Router-Wifi (o punto de acceso) tiene la opción Wpa o Wpa2 ¡¡utilizad ese protocolo¡¡, así os ahorrareis muchos quebraderos de cabeza y muchos de los pasos a seguir de este mini manual tendrán menos importancia. Sin embargo muchos conceptos de los que aquí voy a exponer pueden valer y de hecho pueden contribuir a mejorar la seguridad de vuestra red Inalámbrica independientemente del protocolo de seguridad utilizado.

El protocolo de encriptación Wep es actualmente muy inseguro y hay herramientas incluidas en Livecd que corren bajo Linux que pueden romperlo en tan solo 5 minutos dependiendo de diferentes factores, por eso y para todos los que utilicéis este protocolo bien por desconocimiento o simplemente porque vuestro Punto de Acceso es antiguo y no podéis cambiarlo he decido hacer este manual para que al menos vuestra red Wifi este algo mas protegida ante posibles intrusos.

8 Puntos básicos para proteger una red Wifi a nivel de usuario.


1- Configuracion de fabrica: Tanto si tienes un Router-Wifi como un Punto de acceso debes de cambiar todos los valores por defecto que traen de fabrica como por ejemplo las contraseñas que suelen ser del tipo…User:Admin Pass:Admin o User:1234 Pass:1234, es muy importante cambiarlas por otras mas robustas con el objetivo de ponerselo mas difícil a un atacante.

2- Filtro Mac: Esta opcion viene en todos los Router-Wifi y Puntos de acceso y es muy recomendable activarlo con el fin de que nuestro dispositivo rechaze todas las peticiones de conexion externas que provengan de una direccion Mac no autorizada por los filtros.
3- SSID Broadcast: Desactivar el broadcast es la mejor opcion para que nuestra ssid (nombre de la red wifi) no aparezca en los scanners, asi dificultaremos aunque sea parcialmente la identificacion de nuestro Router-wifi.

3.1- Cambiar el nombre que viene por defecto de fabrica como por ejemplo Wlan_xx o Jazztel_xx es tambien un punto importante dentro de la seguridad Wifi.

4- Deshabilita la administracion remota:
muchos Routers-Wifi tienen abierto el puerto 23(Telnet) por defecto.

5- Reduce el alcanze de trasmision de tu antena Wifi:
Con esto conseguiremos que nuestra antena tenga un radio de accion menor y por tanto menos cobertura hacia fuera, os puedo asegurar que con la mitad de potencia de trasmision de una antena comun que traen por defecto la mayoria de los Routers-Wifi de los ISP os llega perfectamente a toda la casa siempre y cuando sea un casita de entre unos 80 y 100 metros.


6- Si no vas a utilizar la Red Inalambrica desconectala: ¿Para que tenerla encendida si no la estas dando uso?.

7- Cambia las contraseñas de vez en cuando: Partimos de la base de que estamos utilizando el Protocolo Wep y todos sabemos que es altamente inseguro asi que cada cierto tiempo es recomendable cambiar las contraseñas, esto nos ayudara bastante y en muchos casos acabas aburriendo al atacante en cuestión.

7.1-
Ni que decir tiene que aunque tu dispositivo venga ya encriptado desde fabrica hemos de cambiar la contraseña por otra diferente para asi evitar herramientas como Wifi Decrypter que incluso corren bajo Windows.
8- Deshabilita el DHCP: Al deshabilitar el DHCP nuestro Router-Wifi no dara direcciones IP automáticamente a todos los equipos que se conecten u intenten conectarse a nuestra red, eso dificultara en mayor o menor medida una intrusión dependiendo de quien sea el posible intruso, en el equipo atacante aparecera algo como: -Conexión limitada o nula-.

Estos son algunos puntos básicos (los que he creido mas importantes) que debemos tener en cuenta para proteger nuestra Red Wifi independientemente de que utilicemos el protocolo WEP - WPA -WPA2 aunque claro esta que este pequeño manual esta indicado para aquellos que todavia utilizan WEP porque a día de hoy una red WPA-WPA2 bien configurada es muy difícil de romper.

PD: Si tienes la opción de cambiarte a Wpa-Wpa2 hazlo cuanto antes, en caso contrario sigue este manual al pie de la letra y estarás mucho mas protegido. Claro esta y demás esta decir que un buen antivirus actualizado, y otras herramientas de seguridad que no vienen al caso en este articulo contribuirán decisivamente a proteger toda tu red de intrusos, otra cuestión y no por ello menos importante es el utilizar el sentido común ;-).

Espero que a todo el que lea este articulo le haya ayudado a proteger un poco mas su red wifi.

Por Admin.

sábado, 27 de diciembre de 2008

Navegadores Inseguros

Esta noticia ha pasado de puntillas por Internet y apenas nadie se ha hecho eco de su crucial advertencia. Menos mal que aquí están los editores de Neoteo a la caza y rastreo de las piezas más peligrosas. Pues bien, resulta que los navegadores mas populares de la red incorporan una función que permite recordar las claves de acceso de los sitios visitados. Muy cómoda, por cierto. Sin embargo, ¿qué garantía hay de que el navegador entregue las contraseñas solo a los sitios seleccionados por el usuario, y no a sitios de intrusos? ¡Ninguna! La compañía de seguridad informática Chapin Information Services ha probado la forma en que los programas Google Chrome, Microsoft Internet Explorer, Apple Safari, Opera y Mozilla Firefox

gestionan la seguridad de las contraseñas. Los resultados no han podido ser más desoladores. No se ha librado ni el zorro.

Según las pruebas, ninguno de los navegadores se ha librado de un resultado vergonzoso. Todos han puntuado muy bajo, exhibiendo al mundo la total falta de seguridad que padecen cuando se trata de proteger las contraseñas guardadas con las que solemos entrar en las web de todo tipo. Los navegadores Opera y Firefox han obtenido la mejor puntuación, pero aún así sólo lograron superar 7 de las 21 pruebas. Internet Explorer logró superar cinco de las pruebas. Los peores resultados fueron para Google Chrome y Apple Safari, que sólo superaron dos de las 21 pruebas. Si señor, han leído bien. El todopoderoso Chrome y el omnipotente Safari han rozado el ridículo al enfrentarse a estas pruebas tan esclarecedoras.

Cuantos mas "PASSED" tenga, mayor seguridad posee

Uno de los problemas de seguridad revelados en la prueba es que algunos de los navegadores pueden ser inducidos a enviar contraseñas correspondientes a distintos servicios, a un sitio único. Precisamente esta táctica fue utilizada durante un ataque a MySpace, donde los atacantes usaron un formulario adulterado de inicio de sesión. Debido a que tanto el formulario auténtico como el adulterado estaban almacenados en el mismo sitio, los intrusos pudieron acceder a la información de inicio de sesiones, esto es, nombre de usuario y clave. La vulnerabilidad también está presente en Firefox, pero sus desarrolladores ya han solucionado el problema. Chrome y Safari continúan siendo vulnerables ante este tipo de ataques, según Chapin Information Services.

Las versiones anteriores tampoco se libran aunque este test era menos exigente

Otro problema es que los navegadores no suelen comprobar a qué sitio está comunicando las contraseñas. Sólo Firefox y Opera pueden evitar que el navegador permita enviar las contraseñas a otro dominio que aquél para el que fueron inscritas cuando se almacenó en el gestor de contraseñas. De igual modo, formularios invisibles contenidos en algunos servicios también pueden activar la función de gestión de contraseñas de los navegadores. De esa forma, el navegador puede ser inducido para entregar la contraseña sin que el usuario se percate siquiera.

Chrome y Safari lloran sangre por ser los últimos del ranking

El más decepcionante ha sido Chrome. En su fase beta, recibió un montón de críticas por sus errores y fallos de seguridad. Se supuso que habrían sido corregidos en su versión final 1.0 pero Chapin Service Information asegura que esto no ha sido así. Según un informe publicado por la compañía, Chrome 1.0 es el peor navegador de todos a la hora de proteger las contraseñas de los usuarios que lo utilizan. Lo anterior se debe a que presenta tres errores que ayudan a explotar un fallo de seguridad que fue descubierto hace dos años y que facilita que un atacante obtenga las contraseñas almacenadas en Chrome sin que el usuario se percate. Estos tres errores ya habían sido denunciados por Chapin cuando el navegador se encontraba en estado Beta y por si fuera poco, se han encontrado otros 17 errores relacionados con el administrador de contraseñas de Chrome. Un cuadro, vamos. No comprendemos como una empresa como Google ha dejado descuidado un tema tan importante como el de la seguridad. Máxime cuando ya le han avisado de los errores y pueden concentrarse en arreglarlos. De igual manera, Safari ha pasado sólo 2 de las 21 pruebas, en la misma penosa y lamentable línea que el navegador de Google. Un autentico varapalo el que se llevan estos dos grandes del estrellato cibernético.

CONSEJO: Desactivar cuanto antes la función de guardar contraseñas en nuestro navegador. Es recomendable que cada vez que entremos en un sitio web (comercio electrónico, banca, etc.) debemos teclear de nuevo la contraseña y el usuario. No hacerlo puede suponer el camino más rápido para tentar la suerte y sufrir una limpieza fulminante de la cartera.

Si quieres comprobar por ti mismo la seguridad de tu navegador sólo tienes que realizar el test que te proponen aquí

Fuente: http://www.neoteo.com/


viernes, 26 de diciembre de 2008

Seguridad en Internet

La seguridad de Internet ha fallado y nadie sabe bien cómo restablecerla. A pesar de los esfuerzos del sector de la seguridad informática y de la lucha de Microsoft durante media década por proteger su sistema operativo Windows, el software malévolo se propaga con mayor rapidez que nunca. El llamado malware se hace furtivamente con el control del ordenador y luego utiliza dicho ordenador para distribuir más malware entre otras máquinas de forma exponencial. Los especialistas en informática y los investigadores sobre seguridad reconocen que son incapaces de detener la invasión.

Los criminales prosperan gracias a una economía sumergida de robos de tarjetas de crédito, fraude bancario y otras estafas con las que a los usuarios de ordenadores se les sustraen alrededor de 76.000 millones de euros al año, según cálculos por lo bajo de la Organización para la Seguridad y la Cooperación en Europa. Una empresa rusa que vende programas antivirus falsos que, en realidad, se hacen con el control del ordenador, paga a sus distribuidores ilegales nada menos que ciberasaltantes, que disponen de enormes recursos procedentes de tarjetas de crédito robadas y de otra información financiera, están ganando con facilidad una guerra en la que la tecnología se emplea como arma. "Ahora mismo, los malos progresan con mayor rapidez que los buenos", afirma Patrick Lincoln, director del laboratorio de informática de SRI International, un grupo de investigación científica y tecnológica de Menlo Park, California.

Hay una clandestinidad informática bien financiada que ha aprovechado las ventajas de moverse en países que disponen de conexiones mundiales mediante Internet, pero cuyas autoridades muestran poco entusiasmo por perseguir a unos criminales que están ingresando importantes cantidades de moneda extranjera. Esto se puso especialmente de relieve a finales de octubre, cuando el RSA FraudAction Research Lab, un grupo asesor de Bedford, Massachusetts, descubrió un alijo de medio millón de números de tarjetas de crédito y contraseñas de cuentas bancarias que habían sido robados por una red de ordenadores zombis (como se los conoce), controlados a distancia por una banda criminal que actuaba a través de Internet.

En octubre, los investigadores del Centro de Seguridad de Información Tecnológica de Georgia consideraron probable que el porcentaje de ordenadores conectados a Internet e infectados en todo el mundo por botnets ?redes de programas conectados a través de Internet que envían correo basura o interrumpen servicios que funcionan gracias a Internet ? aumente del 10% de 2007 hasta un 15% este año. Esto indica que hay una cantidad sorprendente de ordenadores infectados (nada menos que 10 millones) que están siendo utilizados para distribuir por Internet correo basura y malware, según una investigación de PandaLabs.

Los investigadores sobre seguridad admiten que sus esfuerzos son en gran parte inútiles porque los botnets que distribuyen malware como los gusanos (programas capaces de pasar de un ordenador a otro) son todavía relativamente indetectables por los programas antivirus que se comercializan. En noviembre, un informe sobre una investigación realizada por Stuart Staniford, jefe científico de FireEye, una empresa de seguridad informática de Silicon Valley, señalaba que, en pruebas realizadas con 36 productos antivirus comerciales, se detectaban menos de la mitad de los programas malévolos más recientes.

Últimamente ha habido algunos éxitos, pero por poco tiempo. El 11 de noviembre, el volumen de correo basura, mediante el cual se propaga el malware, bajó hasta la mitad en todo el mundo después de que un proveedor de servicios de Internet desconectase a Mycolo Corporation, una empresa estadounidense con conexiones rusas. Pero no se espera que el respiro vaya a durar mucho, ya que los cibercriminales están retomando el control de sus ordenadores productores de correo basura.

"Los gusanos modernos son más sigilosos y están diseñados de una manera profesional", dice Bruce Schneier, jefe de tecnologías de seguridad de British Telecom. "Los criminales han subido de categoría, y están organizados y son internacionales porque hay mucho dinero que ganar".

Las bandas criminales siguen mejorando su malware y ahora los programas pueden diseñarse para conseguir un tipo concreto de información almacenada en un ordenador personal. Por ejemplo, cierto malware utiliza al sistema operativo para que busque documentos recientes creados por el usuario, al suponer que serán más valiosos. Algunos vigilan de forma rutinaria la información sobre registros y contraseñas para luego robarla, especialmente la información financiera del usuario.

En los dos últimos años, la sofisticación de los programas ha empezado a conferirles características propias de los seres vivos. Por ejemplo, ahora los programas de malware infectan los ordenadores y luego usan de forma rutinaria sus propias posibilidades como antivirus no sólo para desactivar los programas antivirus, sino también para eliminar los programas de malware rivales.

Probablemente el principal problema sea que la gente no pueda saber si sus ordenadores están infectados, ya que el malware suele enmascarar su presencia ante los programas antivirus.

Además de los miles de millones de euros perdidos por el dinero y los datos robados, hay otro efecto más profundo. Muchos ejecutivos de Internet temen que se esté erosionando rápidamente la confianza básica en lo que se ha convertido en el fundamento del comercio del siglo XXI. "Hay una tendencia cada vez mayor a depender de Internet para una amplia variedad de operaciones, muchas de las cuales tienen que ver con instituciones financieras", explica Vinton G. Cerf, uno de los creadores de Internet, que ahora es el "principal defensor de Internet" de Google.

Actualmente, los investigadores de seguridad de SRI International están recogiendo más de 10.000 muestras individuales de malware diarias en todo el mundo. "Me siento como si fuese un guardia de seguridad", dice Phillip Porras, el director de programas de SRI y experto en seguridad informática.

Fuente: www.elpais.com

lunes, 22 de diciembre de 2008

DNSChanger instala "simuladores de DHCP" en la víctima

Hace unos días, tanto el SANS como distintas casas antivirus advertían de un comportamiento más que curioso en la vieja conocida familia de malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el cambio local de la configuración de servidores DNS en el sistema (para conducir a la víctima a los servidores que el atacante quiera). Ha llegado hasta el punto de instalar una especie de servidor DHCP e infectar así a toda una red interna. Los servidores DNS que instala el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las familias que más han atacado a sistemas Mac, además de a Windows. Entre otras muchas formas de toparse con ellos, se suelen encontrar en servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por modificar los servidores DNS de la víctima a la que infectan. De esta forma, la asociación IP-Dominio queda bajo el control del atacante, de manera que la víctima irá a la IP que el atacante haya configurado en su servidor DNS particular. Normalmente, se confía en los DNS de los ISP, pero si se configura cualquier otro, realmente la resolución queda a merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de forma que cambiaba los servidores DNS del ISP de la víctima por otros controlados por el atacante. Después, el malware evolucionó hacia la modificación del router ADSL de la víctima. Buscaba la "puerta de enlace" del sistema, que suele corresponderse con el router, y realizaba peticiones o aprovechaba vulnerabilidades de routers conocidos para modificar estos valores. Así el usuario se veía afectado por el cambio pero de una forma mucho más compleja de detectar. Además, también se verían afectadas el resto de las máquinas que tomaran estos valores del propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un pequeño servidor DHCP. Este es el protocolo usado en las redes locales para que cuando un sistema se conecta a la red, el servidor lo reconozca y le proporcione de forma automática los valores necesarios para poder comunicarse (dirección, ip, puerta de enlace...). Habitualmente también proporciona los valores de los servidores DNS que haya establecido el administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP legítimas de algún sistema en la red, el malware responde con su propia configuración de DNS, de forma que el ordenador que acaba de enchufarse a la red local, quedaría configurado como el atacante quiere, y no como el administrador ha programado. El atacante confía en la suerte, pues el servidor DHCP legítimo de la red, si lo hubiese, también respondería. Quien llegue antes "gana". Consiguen así infecciones "limpias", pues es complicado saber quién originó el tráfico si éste no es almacenado y analizado. Además, con este método se pueden permitir realizar muchos otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura para que sea útil. Los servidores DNS (bajo el control de los atacantes) de los que se vale, los que modifica en el usuario, suelen estar alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de direcciones se corresponden con servidores DNS públicos que no contienen las asociaciones legítimas de domino y dirección IP. En ocasiones utilizan el servidor DNS para asociar dominios a la IP reservada 127.0.0.1, como es el caso del servidor de descargas de Microsoft download.microsoft.com. Con esto se consigue que la víctima no pueda actualizar el sistema operativo con parches de seguridad. Curiosamente, al parecer, las direcciones de actualización de Apple no están bloqueadas (a pesar de que suele afectar a este sistema operativo). También se bloquean un buen número de páginas de actualizaciones de casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112...

Sólo son necesarias algunas consultas "dig" (comando para averiguar qué direcciones están relacionadas con qué dominios en un servidor DNS) para comprobar qué dominios "interesan" o no a los atacantes.

Fuente: http://www.hispasec.com/unaaldia/3711/

Crece el número de adolescentes que ingresa al mundo de la delincuencia informática

El afán de ganar dinero o de ser reconocidos por su grupo de amigos ha llevado a muchos niños y jóvenes a probar suerte en el mundo de la ciberdelincuencia.

Según la firma de seguridad informática FaceTime, diversos grupos de investigadores han detectado foros en los que adolescentes se dedican a intercambiar números de tarjetas de crédito o paquetes en los que se dan consejos y técnicas para violar la seguridad de sitios web o hacer 'phishing' (capturar datos financieros fraudulentamente).

En un artículo publicado en el sitio BBC News, el director del departamento de investigación de delitos informáticos de FaceTime Security, Chris Boyd, dijo que "cada vez es más frecuente ver a niños de 11 o 12 años repartiendo datos de tarjetas de crédito o pidiendo claves con la que puedan acceder a información privada de las personas".

Los nombres y claves que la gente utiliza para acceder a las redes sociales son otros de los datos más cotizados por los adolescentes metidos en la delincuencia informática.

Algunos usan esa información para hacerles bromas a los amigos, pero también hay casos en los que la búsqueda de información conlleva un interés económico, bien por la captura de información financiera directamente o 'secuestrando' sitios o perfiles en redes sociales con la condición de liberarlos a cambio de dinero.

Para Chris Boyd, otra de las principales razones que motivan a los jóvenes ciberdelincuentes es el deseo de ganar reconocimiento de sus acciones entre los grupos de amigos o conocidos. Para este fin acceden a todo tipo de herramientas y hay algunos que hasta utilizan el sitio de video por Internet YouTube para publicitar sus fechorías.

"Ellos están obsesionados con hacer videos de todo lo que hacen", dijo Boyd en la BBC. Incluso habla de casos en los que 'ingenuamente' los usuarios firman los videos con el mismo alias que emplean al piratear un sitio, "lo que facilita la labor de rastreo por parte de los expertos en seguridad informática".

En el artículo también se entrevista a Mathew Bevan, un 'hacker' rehabilitado luego de haber sido detenido por ejecutar delitos informáticos cuando era un adolescente. Según Bevan, no es de extrañar que los jóvenes estén cayendo en la delincuencia en línea. "El objetivo de lo que están haciendo es conseguir la fama dentro de su grupo de amigos", dijo. "Ellos pueden pasar meses o años realizando acciones que les ayuden a incrementar su estatus dentro del grupo", agregó.

Para las autoridades, además de la vigilancia que deben hacer los padres cuando sus hijos estén en Internet, también es un deber hacerles ver que sus acciones conllevan serias consecuencias y que muchos pueden quedar 'fichados' de por vida poniendo en riesgo su futuro profesional en cualquier actividad.

Fuente: http://blog.segu-info.com.ar/

miércoles, 17 de diciembre de 2008

Firefox 3.0.5 ¿la última antes de Firefox 3.1 final?

Mozilla ha liberado en el día de hoy la versión 3.0.5 de su navegador Firefox, con ella llega la última versión de Firefox antes de la salida de la versión final Firefox 3.1 que, a día de hoy, se encuentra en fase beta 2.

Os dejamos a continuación las notas de la nueva versión estable Firefox 3.0.5:

* Solucionados varios problemas de seguridad.
* Solucionados varios problemas de estabilidad.
* Ya están disponibles las versiones oficiales de los idiomas esperanto, gallego, hindi y letón.
* Se ha remplazado el acuerdo de licencia para usuarios finales por la nueva barra “Conoce tus derechos” en la instalación inicial.
* Solucionados varios problemas en la implementación de las tecnologías de accesibilidad
* Añadida la posibilidad de enviar notas específicas para cada sistema operativo en el informe de cuelgues.

Para descargarlo podéis hacerlo desde el FTP de Mozilla o si usáis Windows y tenéis instalado Firefox ya en vuestro sistema podéis hacer uso del sistema de autoactualización.

Descarga desde el FTP de Mozilla: Firefox 3.0.5

viernes, 12 de diciembre de 2008

Linux Mint 6 (RC1)

Ya está disponible el primer Release Candidate (RC1) del próximo Linux Mint 6 "Felicia", basado en el recientemente lanzado Ubuntu 8.10 "Intrepid Ibex" y sus mismas novedades, como Kernel 2.6.27, GNOME 2.24 y X.org 7.4. Pero además, Linux Mint 6 RC1 agrega las suyas propias, como un nuevo administrador de paquetes de software, soporte de FTP en minUpdate, navegación con solapas en Nautilus y mucho más.

Las pruebas de este RC1 se llevarán a cabo por las próximas dos semanas, después de las cuales se considerará el lanzamiento de un nuevo Release Candidate si no se concluyen las correcciones de todos los errores reportados, o en caso contrario su anticipada versión definitiva.

Junto con el lanzamiento de la versión final de Linux Mint 6 "Felicia" también se concluirá una nueva Guía del Usuario, se finalizará su Portal de Software y también se publicará un ISO de su Universal Edition, que reemplazará en un LiveDVD a su anterior "Light Edition" para todos los idiomas soportados.

Descarga: Linux Mint 6 RC1 (ISO).

Robo de contraseñas

La aplicación de robo de contraseñas, que se hace pasar por un plugin de Firefox, filtra las credenciales de registro enviadas.

BitDefender hace público el descubrimiento de un nuevo tipo de aplicación en activo de robo de contraseñas que se hace pasar por un plugin de Mozilla Firefox. El malware, Trojan.PWS.ChromeInject.A, se descarga en la carpeta de Pluging de Mozilla Firefox y se ejecuta cada vez que el usuario abre dicho navegador.

Trojan.PWS.ChromeInject.A actúa filtrando los datos enviados por el usuario en más de 100 sitios web de compra o banca online. Entre las webs afectadas se encuentran: bankofamerica.com, chase.com, halifax-online.co.uk, wachovia.com, paypal.com y e-gold.com.

Aquellos usuarios infectados con el Trojan.PWS.ChromeInject.A envían sus credenciales de acceso a una dirección web similar. Tanto el dominio como el servidor de hosting están localizados en Rusia, lo que da indicios del punto de origen de la amenaza.

Fuente: http://www.diarioti.com

jueves, 11 de diciembre de 2008

TROYANO EXIGE US$300 POR DEVOLVER LOS ARCHIVOS

PandaLabs descubrió un nuevo ejemplar de malware secuestrador o ransomware: Sinowal.FY. Este código malicioso cifra los archivos del usuario para que no pueda acceder a su contenido, y exige un pago a cambio de proporcionarle una herramienta con la que descifrar esos archivos y la clave de cifrado.

Cuando Sinowal.FY se instala en el sistema, procede a cifrar todos los documentos del disco duro. Además, crea un archivo llamado “read_me.txt” que contiene las demandas del secuestrador. Concretamente, incluye un texto en el que exige un rescate de US$300 a cambio de la liberación de los archivos.

“Este troyano pertenece a la familia Synowal, que tradicionalmente se ha dedicado al robo de contraseñas y datos bancarios. En el caso de esta variante, no se contenta sólo con esto, sino que, además, acude al chantaje cifrando la información del usuario de forma que no se pueda acceder a ella. Es un ejemplo de cómo los creadores de malware intentan sacar más beneficio con un único ejemplar de malware”, comenta Luis Corrons, Director Técnico de PandaLabs.

Además, para acelerar el pago del rescate, el texto pone una fecha límite para realizar el pago, o de lo contrario, amenaza con que todos los datos se perderían, aunque esto en realidad, no es cierto, ya que el contenido cifrado permanece en el PC.

Este tipo de secuestro no es nuevo. La familia de troyanos PGPCoder ya es veterana en el mundo del ransomware, perfeccionando sus técnicas de cifrado cada vez más para que resulte más difícil su descifrado. Otro malware, Ransom.A, amenazaba con borrar un archivo cada 30 minutos, aunque fijaba como rescate una suma bastante más inferior, US$10,99. El caso más curioso fue el de Arhiveus.A, que no pedía al usuario dinero, sino que comprara algún producto de cierta farmacia on line.

Lo más importante para contener infecciones de este tipo es contar con una buena solución preventiva que impida el acceso de este u otros códigos maliciosos en el computador. Además, los usuarios que deseen comprobar si algún código malicioso ha atacado su equipo pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección http://www.infectedornot.com.

Fuente: http://www.terra.cl

martes, 9 de diciembre de 2008

Ataque de fuerza bruta a SSH confunde a defensores - ¿Quiénes son esos tipos?

Investigadores de seguridad están luchando para combatir un sofisticado ataque de fuerza bruta contra servidores SSH.

En lugar de utilizar la misma máquina comprometida para intentar con múltiples combinaciones de contraseñas, el nuevo ataque se basa en la coordinación entre múltiples clientes de redes zombies (bot). También, en lugar de lanzar este recurso a servidores al azar de Secure Shell (SSH) remotos, el asalto es dirigido a servidores específicos.

Este enfoque, que es parecido a vencer defensas de seguridad básicas basadas en tasa de ataque, apareció primero después que los investigadores de seguridad se dieron cuenta de un pico en las fallas de ingreso por SSH allá por Octubre, y continua así. Las contra-medidas tales como el uso de listas negras de bloqueo de direcciones IP de equipos comprometidos fueron aplicadas para mitigar el ataque, pero son parcialmente exitosas, advirtió el viernes Arbor Networks.

Una comparación reciente entre la lista negra creada por el escaner de SSH de Arbor y otra lista negra, reveló un 12% de superposición, lo que sugiere que muchos equipos comprometidos permanecen sinser registrados.

Mucho acerca de este ataque sigue sin aclararse. Por ejemplo, las firmas de seguridad todavía deben aislar ejemplos del codigo de la red zombie detras de este ataque.

Fuente: http://blog.segu-info.com.ar

viernes, 5 de diciembre de 2008

Accediendo a Internet desde sitios publicos

Articulo en el cual se detalla perfectamente el como acceder a Internet por Wi-fi sin utilizar la credit card desde por ejemplo: la Terminal T4 de Madrid.

En este caso el autor dice estar en la T4 de Madrid y propone varias opciones, unas mas eficientes que otras para poder navegar sin tener que pasar por caja.

La verdad es que es mas fácil de lo que parece...

Algunos de nosotros, por nuestro trabajo, hobbys o de más razones , debemos viajar a menudo y como miembros de esta sociedad de la información actual, o también porque seamos algo mas freaks que la mayoría de la gente, tenemos una necesidad que “enjuto mojamuto” definió muy bien.. “Inteeeerrrrneeeeeeeeet!!”

El caso es que la mayoría de hoteles, cafeterías, aeropuertos y estaciones de tren nos ofrecen la posibilidad de conectarnos a Internet a través de sus redes “públicas”, pero con un coste muy elevado por lo que, si no puedes pagarte una tarifa plana de 3G ni pagar 25 por día de conexión en una red pública, vamos a explicar como conseguirla, “de gratis” en nuestra nueva sección de Tecnología for dummies.

Nuestro ejemplo aleatorio, va a ser la T4, desde donde estoy escribiendo estas líneas, aunque tambien se incluyen referencias a otros entornos. Nada más encender mi portátil observo múltiples puntos de acceso abiertos a las que me puedo conectar. El funcionamiento es el siguiente, una vez conectado a dicha red, el servidor DHCP remoto me asigna una dirección IP. Hasta aquí todo bien.

DHCP Wireless

El problema está en que mi equipo portátil se encuentra en un segmento “aislado”, es decir, el servidor dns redirige cualquier petición que yo realice contra un “portal cautivo”, es decir, un frontal Web que requiere autenticación.

La idea es que, cuando nos autentiquemos, automáticamente se generará una nueva regla en el firewall que permita tráfico saliente desde mi equipo hacia Internet, mientras tanto, el tráfico estará bloqueado y solo podremos tener acceso por HTTP o HTTPS a las páginas Web definidas por el proveedor de acceso, habitualmente un portal de compra online para pagar con tarjeta y la Web de la compañía.

Llegados a este punto tenemos varias posibilidades:

1) Tunelizar el tráfico: Montar un tunel DNS que nos permita enrutar tráfico a través del protocolo DNS. Para ello necesitamos un sistema externo conectado a internet y un dominio del que seamos propietarios. Esto es habitualmente muy lento y no todo el mundo dispone de la infraestructura necesaria. http://dnstunnel.de/

2) Hack Sk1llz: Atacar el portal Web del proveedor de acceso o alguna de las páginas accesibles desde el portal captivo, encontrando alguna vulnerabilidad, por ejemplo un php include path, que nos permita acceder a páginas externas o alguna vulnerabilidad de inyección sql que nos permita volcar usuarios y contraseñas de la base de datos. Siendo realistas, esto no lo vamos a encontrar nunca :-).

hacking wireless provider

3) Atacar algún sistema de la red o alguna estación de trabajo: conectada a la red, que tenga la pasta suficiente como para pagar y que pueda estar autenticado. Podemos para ello usar alguna herramienta “for dummies” estilo metasploit, e instalar un proxy http en su maquina. El problema es que no sabemos cuanto tiempo estará conectado dicho cliente.

atacando clientes

4) Cambio de direccionamiento: Una opción que funciona muy bien en algunos entornos, es simplemente realizar un cambio de IP. Si el servidor nos asigna una 10.x.x.x/24 vamos a probar a meternos a mano una dirección ip 192.168.x.x/16 con gw por defecto 192.168.0.1 a ver que vemos. No sería la primera vez que nos encontremos de este modo salida directa a Internet y acceso a la red de servidores de la empresa que ofrece la conectividad.

5) Suplantación de identidad: Si todo consiste en tener una dirección MAC valida para poder tener salida a Internet… vamos a intentar localizar una válida. Para ello solo es necesario lo siguiente:
- Ordenador portátil con tarjeta Wireless
- Librerías Winpcap: Disponibles en winpcap.org
- Tu sniffer favorito: Por ejemplo Wireshark
- Herramienta para cambiar la MAC. Por ejemplo etherchange

Lo primero que debemos hacer es ejecutar el sniffer y realizar una captura de por ejemplo 1 minuto. Paramos la captura con el sniffer, y hacemos un pequeño filtro del tráfico, en el wireshark establecemos “TCP” para buscar solo conexiones establecidas, y le damos a ordenar por dirección de origen.

Dentro de las conexiones establecidas nos vamos a encontrar dos cosas:

a) conexiones http y https contra el portal cautivo (las dos direcciones ip de origen y destino serán de la red en la que estamos conectados)
b) conexiones establecidas a través de cualquier protocolo con direcciones IP de Internet o de redes externas

sniffing

Seleccionamos una de las conexiones establecidas hacia el exterior y apuntamos la dirección MAC. una vez apuntada, haremos uso de la herramienta etherchange.

etherchange

Trás realizar el cambio, debemos ir ala sección “conexiones de red”, deshabilitar la tarjeta y volver a habilitarla. En ese momento el interfaz de red se refrescará con la dirección MAC que hayamos establecido.

desactivar interfaz de red

En este momento, nos podemos conectar nuevamente a la red inalámbrica. La diferencia será que el servidor DHCP nos asignará la dirección IP del otro cliente, que está asociada con dicha dirección MAC.

mac spoofing IP

En este punto, ya tenemos conexión y una dirección IP nueva que nos permitirá navegar por Internet.

Fuente: http://blog.48bits.com/

El 98,09% de los PC Windows tienen al menos una aplicación insegura instalada

La firma de seguridad Secunia ha publicado el resultado de un estudio sobre 20.000 ordenadores conectados a Internet, que muestra que más del 98% de ellos tienen al menos una aplicación insegura instalada.

Peor aún, casi la mitad de los ordenadores revisados tenían 11 o más aplicaciones inseguras instaladas.

Aunque las cifras no se refieren a equipos infectados, sino a aplicaciones instaladas que pueden ser potencialmente aprovechadas para colar malware en los ordenadores, las cifras son preocupantes:

- El 1,91% de los ordenadores estaban limpios de aplicaciones inseguras.
- El 30,27% de los ordenadores tenían de 1 a 5 aplicaciones inseguras instaladas.
- El 25,97% de los ordenadores tenían de 6 a 10 aplicaciones inseguras instaladas.
- El 45,76% de los ordenadores contaban con 11 o más aplicaciones inseguras instaladas.

Estos datos han sido recogidos por el software de escaneo de Secunia denominado PSI (Personal Software Inspector), y muestran según los analistas de la firma, un incremento en la vulnerabilidad de los PC Windows. La firma de seguridad danesa asegura que no es suficiente para mantener a salvo los equipos la utilización de un antivirus y un cortafuegos, porque los ataques se están centrando en las vulnerabilidades de las aplicaciones.

Fuente: http://www.theinquirer.es/

jueves, 4 de diciembre de 2008

Como identificar ataques por fuerza bruta

Hablemos de ataques realizados por fuerza bruta a sistemas que tienen Windows instalado. Para intentar identificarlos vamos a utilizar una herramienta llamada LogParser que ademas es free.

Descarga LogParser .


¿Que es LogParser?.
Pues basicamente digamos que es un analizador de fuentes de datos y de ficheros Logs con la cual podemos hacer busquedas en:

-Los registros de sucesos
-En los sistemas de archivos
-Buscar objetos en active Director
-Buscar en los registros de Servicios de Internet Information Server (IIS).

Identificando ataques por fuerza bruta

Pues eso, el titulo es de lo más sugerente, pero en esta ocasión vamos a utilizar dos scripts.

El primero nos va a contar el número de inicios de sesión incorrectos, de esta forma nos hacemos una idea de la cantidad de 'logones' por usuario. Este es el script y a continuación el resultado






El segundo script va un poco más alla y nos cuenta los logones incorrectos por usuario, horas y por dias.



Con estos dos scripts podemos estudiar si alguno de estos usuarios es utilizado por alguna herramienta automatizada que intenta por medio de diccionario u otro medio entrar al sistema.

En la anterior imagen, podemos comprobar que el Administrador,Anna y Luis, tienen demasiados fallos en el inicio de sesión, por lo que que habría que estudiar cual es el motivo. En el script podemos ajustar el tiempo para que lo muestre por minutos, dandonos una mejor visión.

Fuente: http://conexioninversa.blogspot.com/

martes, 2 de diciembre de 2008

X-Scan escaner de vulnerabilidades en español

X-Scan es el primer analizador de vulnerabilidades totalmente gratuito y en español, para ordenadores con sistemas Windows. Una vez se ejecuta, no sólo localiza los fallos de un ordenador, sino que además genera un informe completísimo, enumerando bugs, en qué consisten, y ofreciendo enlaces a distintos sitios web para descargar el parche que soluciona cada problema localizado.

En riguroso estreno anunciamos el lanzamiento de la versión 3.3 en español, traducida como de costumbre por el equipo de Seguridad0® y también soportada por los desarrolladores Xfocus desde su web.

X-Scan puede analizar un PC o una red completa, lo que lo convierte en ideal para administradores de redes. El programa ha sido desarrollado por Xfocus, un grupo de hackers chinos dedicados al descubrimiento de vulnerabilidades en sistemas. Las primeras versiones en español fueron traducidas, adaptadas y ampliadas por nuestro equipo y continuamos con ello.

Lo curioso de la versión 3.3 de X-Scan es que es totalmente compatible con otro escáner de vulnerabilidades: Nessus, el más conocido entra la comunidad de usuarios de Linux. Este escáner open source cuenta con añadidos, lo que se entiende como plugins en el arbot informático. Estos plugins de ataque descubren agujeros de seguridad. Cada día, los participantes de Nessus programan nuevos plugins con los fallos anunciados en la prensa sobre tal o cual programa.

X-Scan es el primer escáner de vulnerabilidades para Windows que incorpora la base de datos de plugins de Nessus al completo. Es más, como si se tratara de un antivirus, X-Scan dispone de un botón de actualización que, al pulsarse, conecta con la base de datos de Xfocus y se actualiza por completo con las últimas vulnerabilidades descubiertas.

Esto convierte a X-Scan en el primer y único escáner para Windows que siempre está al día de todos los fallos descubiertos, generando auténticos informes que ponen de relieve si el ordenador analizado está cubierto ante los últimos bugs publicados.

X-Scan, además, no precisa de instalación en Windows, lo que evita introducir ficheros innecesarios en el sistema operativo, sobrecargándolo más. Basta con hacer un doble clic y el programa comienza a funcionar a los pocos segundos.

X-Scan es recomendado en la asignatura de seguridad informática de la carrera de Ingeniería de Sistemas Informáticos en las principales universidades españolas.

Atención, algunos antivirus detectan scripts maliciosos en el propio programa. Es normal, teniendo en cuenta que se incluye una carpeta con scripts de Nessus para comprobar vulnerabilidades. ¿De qué otra forma se podrían comprobar posibles bugs? Así que, los análisis con un antivirus pueden dar falsos positivos. No debe tenerse en cuenta, dado que garantizamos que X-Scan está 100% libre de virus.

Descarga X-Scan: http://www.seguridad0.biz/programas/X-Scan-v3.3-es.rar

domingo, 30 de noviembre de 2008

¿Le han dado la puntilla a Windows Vista?

De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico, se la hayan acabado de dar en Las Vegas.

Al parecer, investigadores de IBM y VMWare acaban de desvelar, durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo, o al menos sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLL's (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL's, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL's maliciosas con mucha facilidad y añadirles una carga de pago personalizada, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Por ahora, por asombroso que parezca, la mejor solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista para abrir ningún archivo, o para acceder a Internet, si eres un feliz usuario de Vista no te puedes fiar de nada, la DLL maliciosa que, robe tu información personal, lo convierta en un miembro de honor de una red botnet, o que lo configure como servidor de pornografía infantil, puede venir por cualquier medio, a través de un chat, por correo electrónico, o simplemente, visitando una página web, etc, por ello, el mejor consejo que os puedo dar, felices usuarios de Vista es "olvidaos de Vista hasta que se solucione el problema, si es que se soluciona".

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Fuente: Search Security / Black Hat.

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved."

jueves, 27 de noviembre de 2008

Un gusano de Internet explota una vulnerabilidad de Windows

Se supone que Microsoft había solucionado con un parche este defecto de seguridad en sus sistemas operativos Windows, pero el gusano Win32/Conficker.A está propagándose y explotando esa vulnerabilidad de nuevo.

El boletín de seguridad MS08-67
ya había cerrado teóricamente el problema, pero parece que no acabaron de pulir el comportamiento de esa parte de Windows, ya que el gusano es capaz de aprovechar la vulnerabilidad para abrir un puerto aleatorio entre el 1024 y el 10000 y se comporta como un servidor web que luego propaga su efecto a otros ordenadores explotando esa vulnerabilidad citada en el boletín de seguridad.

El Microsoft Malware Protection Center Blog confirmó la actividad de este gusano en Internet, que parece que ha infectado un buen número de máquinas en EEUU pero que también está propagándose a otros países como Alemania, España, Francia, Italia, o China.

Fuente: http://www.theinquirer.es/

domingo, 23 de noviembre de 2008

Entregan pendrives USB infectados en una conferencia de seguridad

La gente de la mega-telco Australiana Telstra siguen con caras de tontos después de distribuir pendrives USB infectados con malware a los asistentes de la conferencia de seguridad anual de AusCERT de este año.

La directora de marketing de AusCERT, Claire Groves confirmó que los dispositivos USB eran de segunda mano (usados) y fueron entregados en un seminario de la conferencia.

"Fue recién ayer en el seminario", dijo ella. "Telstra obsequió los pendrive USB que no sabían que estaban infectados."

"Apenas se dieron cuenta empezaron a recogerlos de nuevo". agregó Groves.

De acuerdo con el informe de SearchSecurity, el archivo malicioso incluido era de la variedad "autorun", programado para ejecutarse automaticamente cuando se interta el dispositivo en una computadora.

Según estimaciones, cerca del 10% de todo el malware es diseñado para usarse en dispositivos de almacenamiento portables, como los pendrive USB, como una forma de ataque y vector de difusión.

Fuente: http://blog.segu-info.com.ar/2008/11/entregan-pendrives-usb-infectados-en.html


martes, 18 de noviembre de 2008

Hack PDF

Dé un vistazo sobre el hombro de un Hacker que incorpora código maligno en un documento PDF.

Según un experto de
F-Secure, el programa Acrobat Reader es un programa que es mejor evitar.

Acrobat Reader de Adobe ha presentado innumerables vulnerabilidades y agujeros de seguridad críticos durante los últimos años.

El programa ha sido diseñado para leer el formato para documentos PDF.

La compañía de seguridad informática Watchcom publicó recientemente un informe según el cual alrededor del 50% de los sitios Web internacionales han sido intervenidos utilizando los denominados PDF exploits.

Estas intrusiones son posibles mediante la incorporación de código maligno en documentos PDF. Los mismos ficheros contienen información sobre versiones anteriores del documento. Esta función hace posible analizar el contenido, o la historia de un documento. Tal ejercicio arqueológico ha despertado el interés del consejero de seguridad informática Didier Stevens.


Stevens se propuso revelar la forma en que trabaja un Hacker. En un comentario en su Blog, Stevens relata paso a paso y minuto a minuto la forma en que es escrito un código maligno. Concluye en su artículo que fue interesante poder espiar la forma en que el escritor del virus desarrollaba su trabajo.

El experto espera que otros Hackers sean igual de descuidados y que se revelen a sí mismos incorporando información personal en los documentos PDF malignos que diseñan.

Recientemente, el experto en seguridad informática de F-Secure, Mikko Hyppönen , comentó que “Acrobat Reader figura entre los peores programas escritos alguna vez. Este es un programa que debe evitarse, y en lugar de el usar extensiones para el navegador que puedan leer documentos PDF".

El código y el análisis de Stevens


Fuente: http://www.diarioti.com/gate/n.php?id=20299

viernes, 14 de noviembre de 2008

Cierran un servidor de la empresa McColo altamente peligroso

Se ha clausurado un servidor de Internet de California acusado de albergar un sinnúmero de sitios nocivos e ilícitos.

Se cree que los cibercriminales utilizaban el servidor de la empresa McColo Corp. para establecer sitios web que descargaran códigos nocivos o realizaran estafas electrónicas a los internautas.

Además, se cree que el servidor era utilizado para enviar una enorme cantidad de mensajes spam. Los spammers utilizaban los servidores de McColo para controlar los ordenadores que formaban parte de sus redes zombi.

Entre las redes zombis protegidas por McColo se encontraban Srizbi, Rustock, Pushdo, Warezov y Mega-D.

Poco después de que el servidor dejara de funcionar, se vio un descenso repentino del volumen de spam. Los expertos en seguridad estiman que hubo un descenso de más de la mitad del spam tras la clausura del servidor.

Además, al momento de ser clausurado, McColo albergaba hasta 40 sitios de pornografía infantil al mismo tiempo. Uno de ellos recibía entre 15.000 y 25.000 visitantes al día.

Mark Rasch, ex fiscal del Departamento de Justicia y director de FTI Consulting en Washington, explicó que, por lo general, la ley no castiga a los servidores de Internet por las actividades ilícitas de los sitios que alberga.

Sin embargo, hay crímenes virtuales que sí representan una amenaza legal para sus servidores, incluyendo la pornografía infantil en Internet. En estos casos, las personas a cargo del servidor pueden ser procesadas si se logra probar que sabían que este tipo de crímenes se estaba realizando y no tomaron medidas para evitarlo.

Richard Cox, director de Spamhaus, dijo que estos servidores suelen borrar los rastros comprometedores de los sitios nocivos cuando empiezan a atraer demasiada atención y los usuarios comienzan a quejarse.

“Muchos de estos servidores saben lo que sus clientes están haciendo y tratan de protegerlos”, explicó Cox.

Las empresas de seguridad han estado esperando este momento por años. Aunque muchas empresas alertaron a las autoridades sobre las supuestas actividades nocivas de McColo repetidas veces, solo ahora se han tomado medidas para solucionar el problema.

Pero aún no hay que cantar victoria. Es muy probable que los sitios nocivos de McColo no tarden en encontrar otro servidor que los hospede.

Fuente: www.Viruslist.com

viernes, 7 de noviembre de 2008

WPA ¿Crakeado?

El estándar de cifrado WiFi Protected Acess (WPA) ha sido parcialmente crackeado por los investigadores de seguridad Erik Tews and Martin Beck, según han informado en el día de hoy.

Al parecer los investigadores darán a conocer todos los datos en la conferencia PacSec que se celebrará en Tokio la semana próxima.

Básicamente el ataque permite al Cracker leer los datos enviados del Router al portátil y enviar información imprecisa a los clientes conectados.

Según afirman han encontrado una manera de romper el protocolo Temporal Key Integrity Protocol (TKIP) usado por el estándar WPA en menos de 15 minutos (estoy ansioso por ver una demostracion en breve) , periodo muy corto de tiempo en comparación con el método de fuerza bruta usado hasta ahora.

Por contra los investigadores no han podido crackear las claves de cifrado de los datos que van de los ordenadores al Router, aunque es mas que posible que sea cuestión de tiempo.

Según los investigadores el WPA2 no es más seguro en cuanto a este tipo de ataque , por lo que si llegaran a completar el sistema que han empezado probablemente sería el principio del fin de las redes inalámbricas empresariales y personales que contengan o muevan datos importantes y confidenciales. Claro que siempre hay otras opciones como las VPN's ect...


jueves, 6 de noviembre de 2008

Encontradas 500.000 cuentas bancarias en un Troyano.

Los Laboratorio de Investigación de Acciones Fraudulentas de RSA ha descubierto los registros de 500.000 cuentas bancarias de usuarios de Internet recolectados por un troyano durante tres años.

Con esto, el troyano Sinowal, también conocido como Torping y Mebroot, ha creado uno de los registros más grandes de datos robados jamás encontrados.

Pero la longevidad del troyano es lo que más sorprende a los expertos en seguridad, pues no todos los días se ve un troyano de una edad tan avanzada.

"El troyano común tiene un ciclo de vida de unos cuantos días o semanas, pero este espécimen ha estado recolectando datos desde 2006, lo que lo hace muy antiguo", explicó Sean Brady, gerente del departamento de protección de identidad de RSA.

Pero, en lugar de debilitarse con el tiempo, el troyano está cada vez más activo. En solo seis meses, de marzo a septiembre de este año, Sinowal ha recolectado datos de más de 100.000 cuentas bancarias de usuarios de Internet.

También ha ido aumentando la cantidad de variantes de Sinowal que se ven rondando en la red. Desde febrero, en lugar de las 25 variantes que solían aparecer por mes, empezaron a verse más de 70 variantes del troyano.

Aunque los expertos en seguridad ya conocían a Sinowal hace bastante tiempo, ha sido muy difícil controlarlo. Esto se debe a que se enfrentan a un rival muy preparado y con altos conocimientos en tecnologías de la información, que organizan sus estafas de una forma sumamente sofisticada.

En vez de tratar de convencer a los usuarios de pulsar en un enlace para infectar su ordenador, Sinowal se propaga aprovechando vulnerabilidades en el sistema operativo de Windows o aplicaciones como Adobe Flash y Quicktime.

Después se camufla entre los informes de inicio del equipo, lo que hace que sea muy difícil detectarlo. La única solución para deshacerse de la infección es reformatear el disco duro y reinstalar el sistema operativo.

Además, los creadores del troyano modifican su código con frecuencia para hacerlo más peligroso e indetectable.

El RSA dice haber notificado a los bancos afectados sobre el asunto para que ellos se pongan en contacto con los clientes afectados.

martes, 4 de noviembre de 2008

Acceso remoto a webs

Pepelux miembro del grupo eNYe-sec ha publicado un documento en el que nos muestras las vulnerabilidades web mas populares que permiten acceso remoto a un sistema.

El contenido del documento es:

1 - Introducción

2 - Local y Remote File Inclusion (LFI/RFI)
2.1 - Introducción
2.2 - Ejecutando comandos remotamente
2.2.1 - Inyectando código PHP en los logs de apache
2.2.2 - Inyectando código PHP en la tabla de procesos
2.2.3 - Inyectando código PHP en una imagen
2.2.4 - Inyectando código PHP en los ficheros de sesiones
2.2.5 - Inyectando código PHP en otros archivos
2.3 - Obteniendo una shell
2.4 - Remote File Inclusión

3 - Blind SQL Injection
3.1 - Introducción
3.2 - Cargando ficheros locales
3.3 - Obteniendo datos sin fuerza bruta
3.4 - Ejecutando comandos remotamente
3.5 - Obteniendo una shell

4 - Referencias

Descarga el archivo en .Pdf

domingo, 2 de noviembre de 2008

Internet desde China

Curiosa noticia la de Kriptopolis, recomiendo probar la extensión de Firefox llamada China Channel a la cual se le pueden dar otros usos como por ejemplo: utilizarlo para navegar anonimamente por la red, y si ademas lo conjuntas con Tor pues...

¿Cómo ven Internet los chinos? Nada mejor que ponerse en su lugar para saberlo ¿Verdad?.



Eso es lo que hace una nueva extensión para Firefox llamada China Channel. Una vez instalada (y reiniciado Firefox para activarla) basta seleccionar "CHINA CHANNEL" y pulsar el botón "Go" en la nueva barra que aparece bajo la barra de marcadores para que un proxy chino se interponga entre nosotros y el sitio web que queremos visitar.

Al principio una página nos mostrará nuestra IP actual y nuestro país, pero en cuanto logramos acceder a un proxy chino (y ubicarnos por tanto dentro de su Gran Muralla de censura) se nos indicará esta circunstancia con una pantalla similar a la que sigue (a veces puede demorarse y/o requerir varios intentos). A partir de ese momento podemos tratar de visitar cualquier web con una IP correspondiente a China, lo que nos permitirá hacer algunas comprobaciones interesantes.

Copiar llaves a distancia con una Foto

El Gagdet Lab de Wired tiene un interesantísimo artículo titulado Software Enables Cameras to Duplicate Keys que habla de una técnica, digna de James Bond, que permite obtener un duplicado de una llave sin tocar físicamente el original: con una imagen fotográfica basta. Y es que sucede que con eso de que las cámaras digitales han avanzado una barbaridad, el récord ya está en conseguirlo a partir de una foto de unas llaves tomada a unos 60 metros de distancia, mediante un teleobjetivo, aunque hacerles más o menos de cerca una foto con el móvil también es suficiente.

Todo esto es un trabajo de Stefan Savega, un profesor de ciencias de la Universidad de San Diego en California, que publicó recientemente sus investigaciones (Keys can be copied from afar) y explicó con algunos ejemplos prácticos cómo funciona un software diseñado al efecto para tal tarea.

Desde siempre se ha sabido que las llaves convencionales no son tan difíciles de imitar como parece; según el artículo algunos cerrajeros pueden incluso hacer copias «a ojo» viendo una llave original o una foto en alta resolución.

Una llave corriente de un modelo determinado (fácilmente identificables a simple vista) encaja en una cerradura que tiene habitualmente cinco o seis pines en un tambor, separados a intervalos regulares. Cada uno de ellos se ajusta a una altura determinada, pero el número de «alturas» o «escalones» también tiene un valor finito (normalmente alrededor de diez). El punto en que coinciden las sinuosas curvas de la llave con las posiciones de los pines determina una especie de código de la llave. El total teórico de llaves «posibles» de un modelo determinado se obtiene a partir de ambos valores; por ejemplo digamos 10 posiciones y cinco pines, 105 = 100.000 llaves diferentes.

Attacks Against The Mechanical Pin Tumbler Lock
Attacks Against The Mechanical Pin Tumbler Lock [PDF]

El software de Stefan Savega utiliza técnicas de reconocimiento de imagen relativas a lo ángulos de la escena, de modo que a partir de la forma de los dientes de las llaves fotografiadas y tras algunas pistas (puntos de control) que introduce el operador puede recrear una imagen normalizada (plana) de la llave. A partir de ahí se calculan las alturas de los pines y se obtienen los valores únicos que permiten reproducirla sin demasiados problemas. Los avances en reconocimiento y fotografía, con imágenes cada vez de mayor calidad y la alta potencia de los zooms y teleobjetivos hacen la tarea más fácil.

La versión de baja tecnología de esta técnica puede leerse en Duplicating a key from only a picture, que puede servir para cerraduras de baja calidad como las típicas de los escritorios o puertas de baja seguridad. Una foto cualquiera, un poco de habilidad con Photoshop (usando por ejemplo una moneda como guía de control), recortar una lata con la forma adecuada, y voilà, cerradura abierta.

Una derivada interesante del asunto es que la gente que tenga un nivel especialmente alto paranoia ya puede añadir a sus agobios el pensar en retirar de los sitios de alojamiento de fotos todas las que contengan llaves porque a lo mejor van por ahí con una sonrisa enseñando complacientemente las llaves de su casa nueva y dentro de unas semanas cuando abran la puerta, algún listo les ha desplumado.

Fuente: http://www.microsiervos.com/archivo/seguridad/como-copiar-llaves-a-distancia-con-una-foto.html

sábado, 1 de noviembre de 2008

Troyano Indetectable roba 500.000 cuentas bancarias

Una banda criminal bien organizada ha robado las credenciales de más de medio millón de cuentas financieras en menos de tres años utilizando un troyano sofisticado que permanece indetectable para la vasta mayoría de sus víctimas, advirtió un informe publicado este viernes.

El botín del banco, tarjetas de crédito y débito y números de cuentas robados por el troyano Sinowal está entre los mayores jamás descubiertos. Fue descubierto por investigadores del Laboratorio de Investigación de Acciones de Fraude de RSA. Dicen que el programa, que también es conocido como Torpig y Mebroot, ha estado operando sin interrupciones por casi tres años, un lapso de tiempo poco común en el irresponsable mundo del cibercrimen.

"Muy raramente nos topamos con crimenware que ha estado robando continuamente y coleccionando información personal, datos de tarjetas, y comprometiendo cuentas bancarias desde 2006," escriben los investigadores de RSA.

Lo que es más, Sinowal se ha vuelto más productivo con el tiempo. En los últimos seis meses comprometió mas de 100.000 cuentas. Desde febrero, el número de variantes ha pasado de menos de 25 por mes a mas de 70, según RSA. Este aumento ayuda a que el malware evada la detección de los programas antivirus.

En total el troyano ha infectado al menos 300.000 máquinas Windows y robado 270.000 números de cuentas bancarias y 240.000 credenciales de tarjeta de débito y crédito.

El Sinowal es también admirable por otras razones. A diferencia de muchos troyanos, no se basa en engañar al usuario en hacer clic en un vínculo o archivo para instalarse. En lugar de eso se disemina silenciosamente mediante sitios web que hacen presas a equipos con vulnerabilidades del sistema operativo Windows o de aplicaciones de terceros como Flash de Adobe o el reproductor multimedia QuickTime de Apple.

"Este troyano en particular puede quedar instalado sin siquiera que lo note el usuario final que está seguro que no aceptó nada o que nada fue instalado," dijo en una entrevista Sean Brady, administrador de protección de identidad de RSA.

Luego se oculta en el registro maestro de arranque del disco de la computadora, haciendo extremadamente difícil que sea hallado. Y el único remedio que tienen las víctimas, que por fortuna descubren que su sistema está contaminado, es reformatear el disco duro y reinstalar el sistema operativo.

Brady dijo que RSA compartió la información que descubrió con los bancos afectados y espera que ellos notificarán a los clientes que están infectados.

Sinowal permanece dormido en la máquina hasta que un usuario dirige su navegador a un sitio de un banco u otra institución financiera. Entonces un motor de inyección HTML agrega campos en la página de ingreso del sitio para pedirle a la víctima que ingrese el número de seguro social, contraseñas y otras credenciales. Una vez ingresadas, la información es transmitida a un servidor bajo el control de los autores del malware. El mecanismo de inyección es activado por más de 2.700 direcciones web distintas.

Se sabe poco sobre el grupo responsable del Sinowal, pero al menos una pista sugiere que el grupo pertenece a Rusia: mientras el troyano apunta a instituciones en docenas de países en Norteamérica, Europa, Asia [y Latinoamerica], ninguno es de Rusia.

Fuente: http://www.theregister.co.uk/2008/10/31/sinowal_trojan_heist/

viernes, 31 de octubre de 2008

Limite de 10 conexiones en Winxp Sp2

Tras la aparición de los virus Blaster, Sasser y Sober, entre otros Microsoft limita a 10 el numero de apertura de sockets salientes POR SEGUNDO (en su XP+SP2) siempre y cuando sean además AL MISMO PUERTO DESTINO.

Queda claro que el límite de conexiones no ha sido establecido por Microsoft sin una razón. Si utilizas un pc como maquina de escribir y para bajar archivos de vez en cuando, pasa de este mensaje. No eleves el límite de conexiones máximas si realmente no lo necesitas.

!!!! Los cambios en el límite de conexiones se realizan bajo tu responsabilidad!!!!

Según Jose Manuel Tella Llop (MVP - Windows) "Esto, no limita en absoluto los programas P2P" en lo cual discrepo profundamente. Será en tus P2P majo! porque entonces me gustaríaa saber porque en mi Visor de sucesos del PC q uso pra los P2P (limpio de virus/gusanos/etc) aparece una y otra vez el ID 4226 referente a:
Citar
TCP/IP alcanzó el límite de seguridad impuesto sobre el número de intentos de conexión TCP simultáneas.


Nota: Para abrir el visor de sucesos Inicio > Ejecutar > Eventvwr.msc y pulsamos en el registro Sistema.

P2P a parte, supongamos que te ves obligado a realizar un escaneo desde un XP+SP2. Como es evidente vas a usar al menos un proxy anónimo. Inicias el escaneo y los 4226 se disparan linealmente. ¿Que ha ocurrido? Pues que tu XP abre muchos sockets con el MISMO PUERTO DESTINO (useasé el 8080 del proxy por ejemplo) ¿más de 10 por segundo? Bastantes más dependiendo del tipo de escaneo.

Bit Torrent

P2M

Etc...

SOLUCIÓN:
Tras buscar sin éxito en el registro la clave que habia de modificar doy con que dicha clave no existe; pero también con un alemán que ha hecho un parche para esto, aumentando el límite a 50:
EventID 4226 Patcher Version 2.23d (english)

Como me fio lo mismo del código cerrado que de un exe bajado de la mula abro mi compilador y tras un par de debuggers ya tengo mi límite en 369 que para este pc son mas que suficientes.

Si deseas programartelo tu mismo los archivos que se debes modificar son:
Citar
C:\WINDOWS\system32\drivers\tcpip.sys
C:\WINDOWS\system32\dllcache\tcpip.sys

Fuente: ANELKAOS

Porgramas:

xp-AntiSpy Setup 3.95-2 ESP (Special --> Límite de conexiones INFINITAS.)

Parche winxp-sp2-4226patch_2.12.zip o EvID4226Patch223d-en.zip que te modifica el fichero para dejarte el número de conexiones a 50. Windows se da cuenta de que alguien ha modificado el fichero y lo intenta recuperar del service pack 2. Te pide el cd con el SP2, le dices que no y ya está listo.

Fuente: http://www.elhacker.net